ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

IRC-Worm.VBS.Evion

Classe IRC-Worm
Plataforma VBS
Descrição

Detalhes técnicos

O IRC-Worm.Evion Evion é um worm do IRC que se espalha através dos canais do IRC. O vírus está escrito em Visual Basic Script (VBS). Ele sobrescreve arquivos .vbs e .html em todas as unidades locais e mapeadas.

Instalando:
Quando o worm é executado, ele faz o seguinte:

Evion cria cópias de si mesmo no diretório raiz do disco C: no arquivo "Win32 Strt.exe.vbs" e no arquivo de diretório do sistema "BootLoader.exe.vbs", bem como no diretório raiz do Windows nos arquivos "Piadas" .htm "e" Winupdate.exe "

O Evion sobrescreve esses arquivos existentes com cópias de si mesmo:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

O Evion registra os arquivos "BootLoader.exe.vbs" e "Win32 Strt.EXE" na seqüência de lançamento automático do registro do sistema:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Espalhando
O Evion pesquisa todos os arquivos .vbs e sobrescreve os arquivos .vbs existentes com cópias de si mesmo. Os arquivos que possuem as extensões .htm, .html, .asp, .htx e .hta são substituídos pela versão .HTML do worm.

O arquivo "Script.ini" é um programa mIRC curto que envia o arquivo % Windir% Jokes.htm para todos que entram em um canal infectado.

Carga útil
O worm ativa sua carga útil em três dias diferentes (15 de outubro, 23 de novembro e 25 de dezembro) e exibe uma caixa de mensagem com os seguintes textos:


com o título da caixa de mensagens "my b-day" e o texto "happy birthday kefi" - 15 de outubro
com o título da caixa de mensagem "11/23!" e texto "santo sh * t! é 11/23" - 23 de novembro
com o título da caixa de mensagem "kefi [rRlf]" e o texto "Religião organizada controla o mundo" - 25 de dezembro

Nesses dias de ativação da carga útil, o worm também cria 16 arquivos de texto na pasta Startup do Windows. O nome do arquivo usa o formato: StartupEvion (n) .txt, onde n está entre 0 e 15 (inclusive). Esses arquivos contêm 50 cadeias de texto de texto gerado aleatoriamente que é selecionado a partir dessas três linhas:

Você fez e se infectou com o Vbs.Evion por kefi [rRlf] [rRlf] O ownz joo bitch Catfish_VX é lamers. Este vírus foi construído para eles roubarem

Em dias diferentes daqueles em que a carga útil é executada, um documento de texto é criado no diretório Windows Desktop. O nome do arquivo usa o formato "Desktop% day% -% month% .vir.txt".

Esses arquivos contêm o seguinte texto:

 hoje você não experimentou a carga útil do Vbs.Evion
 desculpa..
 kefi [rRlf]


Link para o original